[주의요망] zappos에 의해 워드프레스 관리자 계정 탈취 문제 발생

최근 클라이언트의 워드프레스 홈페이지 제작 프로젝트 진행을 위해 테스트 서버에서 워드프레스 설치를 하고 얼마 지나지 않아 사용자 이름이 zappos, 이메일이 jackmemorys@gmail.com인 사용자가 등록하는 경우가 있었습니다. 누구지 하고 확인을 해 보려고 새로 설치한 워드프레스에 관리자 계정으로 로그인을 해 보면 접속이 되지 않습니다. 즉, zappos 사용자가 워드프레스 관리자 계정을 탈취해간 것입니다. 실제 이를 다음과 같이 DB에서 확인을 해 보겠습니다.

 

 

zappos-hack

 

 

위 DB를 보면 zappos 사용자가 추가되었고, 워드프레스 설치 시 입력했던 관리자 계정의 이메일이 정체를 알 수 없는 이메일(anglettracy@gmail.com)로 변경된 것을 확인할 수 있습니다. 그리고 당연히 비밀번호도 변경 되었습니다.

 

 

이와 같은 경우가 두 세번 반복해서 발생하다 보니 분명 어떤 문제가 있다고 생각되어 관련 키워드프로 검색을 해 보았더니 실제 어떤 문제가 있는 것을 확인할 수 있었습니다. (참고, zappos-shares-your-password-with-hackers)

 

 

그럼 이를 어떻게 해결하면 좋을까요? 여러 가지 방법이 있을 수 있겠지만, DB 접속이 가능한 환경이라면 다음과 같이 간단히 해결할 수 있습니다.

 

 

1. DB 접속해서 zappos 사용자 삭제, 관리자 이메일 수정

 

DB 접속한 다음, zappos 사용자를 삭제하고, 워드프레스 설치 시 입력했던 관리자 계정의 이메일로 수정을 합니다. 수정된 DB는 다음과 같습니다.

 

zappos-hack1

 

 

2. 비밀번호 초기화 신청

 

다음과 같이 비밀번호 초기화를 신청합니다.

 

zappos-hack2

 

* 주의: 비밀번호 초기화 과정이 워드프레스 기본이 아닌 우커머스 기본으로 진행하기 때문에 실제 과정은 이 글에서 설명한 화면과 다를 수 있습니다.

 

 

 

3. 비밀번호 초기화 신청 이메일 확인

 

다음과 같이 비밀번호 초기화 신청 이메일을 확인합니다.

 

zappos-hack3

 

 

그림의 비밀번호를 초기화하려면 여기를 클릭하세요 링크를 누릅니다.

 

 

4. 새 비밀번호 신청

 

다음과 같이 새 비밀번호를 신청합니다.

 

zappos-hack4

 

 

 

5. 변경된 비밀번호로 워드프레스 관리자 접속

 

변경된 비밀번호로 워드프레스 관리자에 접속하면 됩니다.

 

 

 

 

• (주)블로그코디 대표
• 워드프레스 교육 서비스 런칭
• 워드프레스 정보 공유 커뮤니티 make BCT 런칭
• 한국형 워드프레스 테마 출시
• 워드프레스 홈페이지 제작 서비스 런칭
No comments
Write CommentLIST
WRITE COMMENT

위로이동